Kimsuky Arsenal 曝光：多格式木马分析

概述

近期，SecAI监测到Kimsuky自2024年起发起的一系列针对性攻击，活跃程度较高。其中包括4月份针对韩国驻华大使馆的安全相关样本、6月份针对某建筑公司的发票相关样本、7月份针对某韩国知名大学的讲座相关样本等。通过长期的跟踪分析，该组织通过设置大量钓鱼网站、发送带有诱导点击受害者感兴趣名称的样本的钓鱼邮件等方式，进行信息窃取和远程控制活动。在收集了Kimsuky各类攻击样本后，发现该组织具有以下特点：

• 利用钓鱼网站诱骗受害者透露账号密码，涉及韩国、美国、日本等热门网站以及邮件、税务保险相关的韩国网站。

• 通过钓鱼邮件投递多种类型的样本，涉及Windows、Linux、Android系统，其中Windows占比最高。样本使用多个脚本进行多阶段下载、解密或加载执行，并使用受害者感兴趣的名称进行伪装，诱导点击执行。

• 利用大量被入侵的网站、公共文件托管服务以及模仿合法网站来存储和下载加密载荷，然后使用各种脚本进行下载和解密，最终获取信息并实现远程控制。

• SecAI通过对相关样本、IP、域名的分析，提取了多个相关的IOC用于威胁情报检测。SecAI的网络检测与响应（SecAI NDR）、威胁情报云API支持对本次攻击事件的检测。

攻击组分析

1. 攻击组织简介

Kimsuky，又名 APT43、APT-Q-2、Velvet Chollima、Black Banshee、Thallium、Sparkling Pisces 等，自 2012 年开始运作，受到朝鲜政府支持，主要针对韩国及其日美等盟友，采用鱼叉式网络钓鱼、水坑攻击、钓鱼网站等方式进行入侵，主要目标是窃取高价值信息用于情报收集，涉及韩国政府、国家安全、制药、能源、教育等行业。

2. 技术特点

Kimsuky组织一般采用先建立钓鱼网站获取账号密码，再发送钓鱼邮件诱导执行恶意样本的方式。即先建立钓鱼网站诱导受害者输入邮箱账号密码，然后利用获取的邮箱账号密码向高价值用户发送钓鱼邮件。钓鱼邮件中嵌入以不同类型的文件格式发起的恶意样本，如lnk、xls、doc或者iso文件等，通过一系列脚本隐藏运行，最终执行C&C命令。

2.1 账户及密码被盗

Kimsuky组织最初利用钓鱼网站进行大规模网络钓鱼，获取受害者的邮箱账号密码，为后续的邮件投递做准备。模仿的钓鱼网站大致分为三类：1、模仿韩国、美国、日本知名网站；2、模仿知名邮件网站；3、含有韩文的钓鱼链接。模仿关键词的特征如下表所示：

根据钓鱼网站的特点，该组织收集的资产分类如下图所示：

近期，Kimsuky设置的钓鱼界面如下图所示，通过伪造Naver邮箱的登录名，在其中加入韩文文字（“6月宣言-支付指南.首页.韩国”），诱导受害者输入账号密码。

2.2 电子邮件传递

该组织通过大量钓鱼网页成功窃取账号密码后，从收集到的账号中筛选出可信度较高的邮箱账号，利用这些邮箱账号密码向高价值账号邮箱发送伪造的钓鱼邮件，目的是为了绕过邮箱网关的拦截，从而保证邮件的高伪装性和点击率。而且，在发送包含实际payload的邮件前，还会发送一些正常邮件，降低受害者的警惕性，最后发送带有恶意样本的邮件，诱导点击，如下图所示：

钓鱼邮件中的附件通常为压缩包，解压后文件类型多种多样，如lnk文件、iso文件、xls文件、doc文件、chm文件、msc文件、Windows系统的js文件等，这些文件中一般会嵌入cmd、bat、vbs、js、PowerShell等脚本，这些脚本之间会相互调用，执行下载、解密、运行等操作，最终执行核心payload。

2.3 样本构建

嵌入钓鱼邮件的样本会伪装成受害者感兴趣的名称，诱导其点击运行。以下是收集到的样本名称，样本伪造的标题主要分为：企业/个人发票单据；教授讲座/名人新闻；朝韩安全问题；金融期货交易信息等。

3. 资产特征

Kimsuky 通过使用脚本来释放、解密或下载恶意文件，从而进一步控制受害者的主机。而下载文件的网站一般分为三类，如下表所示：

1. 被入侵的网站，主要是安全意识较差的网站，例如大学、资助机构等；

2. 公共文件存储服务，主要是Google、Dropbox和GitHub的文件存储服务，这些服务中的文件通常在上传前进行加密，需要经过特定算法解密后才能正常执行；

3. 恶意构建的网站，主要模仿知名网站，与其样本一起在流量中不容易被检测到。

同时，Kimsuky 一直在 URL 格式中使用一定的模式，使用 PHP 结尾和有意义的参数键值对来伪造正常的 URL 通信。

除此之外，自 2024 年以来，Kimsuky 一直在感染或创建使用 {mmdd} 格式的 URL 的恶意网站，怀疑这些 URL 标记了网站的创建日期，这些网站由通过单独目录或附加下划线和短字符串的目录组成，如下表所示。

C&C多采用动态域名，主要域名采用ne.kr、pe.kr、re.kr、or.kr、kro.kr等韩国二级动态域名，采用知名词拼接而成。但近期该类别C&C整体份额有所减弱，site、store、online、me、shop等免费域名份额逐渐上升。

参考链接

• https://mp.weixin.qq.com/s/OaECtSaeClPzFHslN_Wama

• https://asec.ahnlab.com/ko/30980/

• https://medium.com/s2wblog/unveil-the-evolution-of-kimsuky-targeting-android-devices-with-newly-discovered-mobile-malware-280dae5a650

• https://www.security.com/threat-intelligence/springtail-kimsuky-backdoor-espionage

附录 - IOC

领域

• mid.mmm.mmm.mmm.6월신고-납부안내.홈페 Been.mmm.6월신고-납부안내.홈페 Been.mmm.한국（网络钓鱼）

• evangelia.edu(已泄露)

• trusteer.ink (C&C)

• nzzstore.site（C&C）

• mngrdp.site (C&C)

• koreaillmin.atwebpages.com(C&C)

哈希

7d766cbd60b2184b4181eb83562d5a406b848adddfa20842a073c25d3f1fe853
1099a77b2de97f26605b32e25e806b636e36103a3b8d601e1e30b15c922de578
ea332de382c843e4d862323466fee3d94c3722e3e9e61c00bf2bdf379a7087af
8028b918d06cf3635e7e77d29cb0a4622d8cf4ee30881fb297435f7328ff45e4
35ddb63c0729a7e3019c026865ea195607a51943d8867607a26c006f0df6e594
06e2ab3fe5afc927642244644dfddb0f920ff1ab11c5e5631e26dbd62ed6978a
5d25e53b59bd2dcf234c6819f8cd294efe6d943d04625b9d575002362794e74a
6263530f1bde08b13872252fa1e90efc0ac5c8d433db6931316c8eb7322d23c4
30584f13c0a9d0c86562c803de350432d5a0607a06b24481ad4d92cdf7288213